Enklawy SGX

Technologia Intel SGX umożliwia klientom tworzenie enklaw, które chronią dane, i przechowywanie danych zaszyfrowanych podczas przetwarzania danych przez procesor CPU.

Enklawy są zabezpieczone części procesora i pamięci sprzętu. Nie można wyświetlać danych ani kodu wewnątrz enklawy, nawet w przypadku debugera. Jeśli niezaufany kod próbuje zmienić zawartość w pamięci enklawy, SGX wyłącza środowisko i odrzuca operacje. Te unikatowe możliwości ułatwiają ochronę wpisów tajnych przed dostępnością w sposób jasny.

Diagram modelu maszyny wirtualnej przedstawiający dane zabezpieczone w enklawie.

Pomyśl o enklawie jako zabezpieczonej skrytce. Kod i dane są umieszczane w polu blokady. Z zewnątrz nic nie widać. Enklawa nadaje kluczowi do odszyfrowywania danych. Enklawa przetwarza i ponownie szyfruje dane przed wysłaniem danych z powrotem.

Poufne przetwarzanie na platformie Azure oferuje maszyny wirtualne serii DCsv2 i DCsv3/DCdsv3 . Te maszyny wirtualne obsługują rozszerzenia Intel® Software Guard (SGX).

Każda enklawa ma zaszyfrowaną pamięć podręczną strony (EPC) o ustawionym rozmiarze. EPC określa ilość pamięci, którą może pomieścić enklawa. Seria DCsv2 Maszyny wirtualne przechowują do 168 miB. Seria DCsv3/DCdsv3 Maszyny wirtualne przechowują do 256 GB w przypadku większych obciążeń intensywnie korzystających z pamięci.

Opracowywanie enklaw

Do tworzenia aplikacji uruchamianych w enklawie można użyć różnych narzędzi programowych. Te narzędzia ułatwiają osłonę fragmentów kodu i danych wewnątrz enklawy. Upewnij się, że nikt spoza zaufanego środowiska nie może wyświetlać ani modyfikować danych za pomocą tych narzędzi.

Następne kroki